Moin, gesundes neues Jahr erstmal!
So zu meinem Problem.
Habe vor Weihnachten mal Maltrail aktiviert und erstmal sammeln lassen, soweit so gut.
Nun wollte ich mal gestern das aktivieren und sobald Maltrail aktiviert ist dauert es keine 10 Minuten ist mein gesamtes Netzwerk auf der Fail2Ban Liste und das trotz Whitelist Einträgen wie 192.168.50.0/24 oder auch einzelner Hosts.
Das geht sogar soweit das sogar meine WAN IP geblockt wird obwohl die auch in der Whitelist eigetragen ist.
Maltrail läuft nur auf dem WAN Interface.
Als Rule ist nur eine Floating Rule mit dem Maltrail Alias als Source eingetragen.
Wo liegt der Denkfehler bei mir?
Vielen Dank euch vorab.
Hi,
wie auch schon in der opnsense Doku zur Suricata IPS/IDS, ist es nicht sonderlich sinnvoll sich den traffic am WAN-Interface anzuschauen. Da ist ja die Tür eh schon zu. Was von extern per DNAT reingelassen wird, muss auch erst wieder über das LAN-Interface die Firewall verlassen.
Also würde ich MALTRAIL eher an das LAN-Interface und ggf. an DMZ-Schnittstellen lauschen lassen....
Am WAN rauscht so viel dreck vorbei, der gar nicht für deine Firewall bestimmt ist, das der Sensor eh permanent alarm "pustet"....